マルウェアとは

マルウェア対策が重要な理由

クラウド アプリやサービスの利用が増加し、リモート ワークが爆発的に普及している中、マルウェア感染の脅威は無視できないものとなりつつあります。Zscalerのクラウドは1日あたり数千万の高度な脅威をブロックし、Zscaler Global Threat Insightsからは、さまざまな形態のマルウェアが脅威の上位10種を占めていることがわかります。

あらゆる業種の組織がより多くのデータをオンラインで管理するようになり、リモート アクセスやモバイル デバイス/パーソナル コンピューターの利用が一般的になるにつれ、マルウェア対策はサイバーセキュリティに不可欠なものとなっています。マルウェア対策は最新のソーシャル エンジニアリング攻撃から組織を保護し、攻撃者に合わせて防御を進化させることができます。

サイバー犯罪者がマルウェアを使用する理由

脅威アクターがマルウェアを使用する理由としては、システムの防御に脆弱性を発見した際に簡単に展開できる点が挙げられます。この脆弱性は人的要素の場合がほとんどです。信頼できると考えられる相手からのメールのコンテンツを閲覧する場合は、特に多くのインターネット ユーザーが簡単にだまされてしまいます。

攻撃者が持つ独自の目標に応じて、マルウェアは以下を実行できます。

• ユーザーをだまして機密データを搾取
• スパイウェアをインストールして、エンドポイント上のアクティビティーを監視
• ランサムウェアをインストールして、身代金が支払われるまでシステムまたはデータをロック
• システムから機密情報を窃取
• クレジット カード番号などの金融情報へのアクセスを入手
• ポップアップ広告を乱発するアドウェアをインストール
• コンピューター システムを中断、速度低下、または損傷させる悪意のあるソフトウェアをインストール

これらすべてを達成するために実にさまざまな種類のマルウェアが存在します。ここでは、一般的なマルウェアをいくつか紹介します。

マルウェアの種類

マルウェア感染の最も一般的な種類は以下のとおりです。

• ランサムウェア：データを暗号化し、復号キーの提供と引き換えに通常は暗号通貨での支払いを要求するマルウェア。亜種である二重脅迫型ランサムウェア攻撃では、データの暗号化と窃取の両方が行われます。通常はビットコインで支払われる身代金を追加で要求してきます。
• ボットネット：多数の「ボット」システム、つまり脅威アクターによってリモートでコントロールされる感染したコンピューターは、マルウェアの急速な拡散やサービス拒否攻撃の実行など、さまざまな目的に使用されます。
• ファイルレス マルウェア：多くのマルウェアとは異なり、ファイルレス マルウェアではユーザーがファイルをダウンロードする必要はありません。代わりに、ファイルレス マルウェアは悪意のあるツールを悪意のある方法で用いて、コードをオペレーティング システムに埋め込むなどして攻撃を実行します。
• コンピューター ウイルス：自己複製する能力を持つウイルスはネットワーク上のホスト全体に急速に広がり、データを破損または削除するため、アプリケーションやシステム全体の安定性に影響を与える可能性があります。
• トロイの木馬：犯罪者は、悪意のあるコードを正規のソフトウェアやファイルに埋め込みます。例えば、更新プログラムやドキュメントに隠したり、ファイルやプログラムが使用されたときに実行されるマルバタイジングのような詐欺行為によって、悪意のあるコードを埋め込むことができます。
• ルートキット：悪意のあるソフトウェア ツールで、ハッカーにデバイスへのアクセスとコントロールを提供します。ルートキットの大半はソフトウェアとオペレーティング システムに影響を及ぼしますが、ハードウェアとファームウェアにも感染するものもあります。
• スパイウェア：脅威アクターはスパイウェアを使用して、(キーロガーの使用による)キーストローク、ログインの詳細、Webサイトへのアクセスなど、エンドポイントでのアクティビティーに関する情報を秘密裏に収集します。
• アドウェア：必ずしも悪意のあるものとは限りませんが、広告を表示して閲覧やクリックを促し、収益を上げるために使用されます。侵入型アドウェアはユーザー エクスペリエンスを損ない、システムのパフォーマンスに悪影響を及ぼす恐れがあります。

こういった高度なマルウェアのほとんどは、多くのエンドポイントにインストールされている旧式のウイルス対策ソフトを簡単に回避できます。

マルウェアに感染しているかどうかを知る方法

マルウェアに感染したシステムには、いくつかの共通した症状が見られます。以下に例を示します。

• システムの動作が遅い、または不具合がある：マルウェア攻撃は余分なシステム リソースを使用し、プロセスの競合を引き起こす傾向があるため、コンピューターの実行や起動が通常よりも遅い、または頻繁にフリーズしたり、クラッシュしたりするなどの場合は、マルウェアに感染している可能性があります。
• 不要なポップアップ広告が表示されたり、セキュリティ アラートが通知される：多くのコンピューター システムやブラウザーは、ポップアップ広告を自動的にブロックしています。システムが広告で動きが取れなくなっている場合は、広告ブロック プロトコルを改ざんするマルウェアに感染している可能性があります。
• 身代金が要求される：システムがランサムウェアに感染している場合、一部またはすべてのファイルが暗号化され、身代金の支払い後にのみアクセスが復元されるといった状況になる可能性があります。支払い方法を指示するポップアップが表示されることもあります。

マルウェアからネットワークを保護する最善の方法

信頼できるマルウェア対策やセキュリティ ソフトでコンピューター システムを保護するだけでなく、次のようなベスト プラクティスも考慮することが重要です。

• IT部門の指示に従って更新プログラムを適用する：ソフトウェア プロバイダーは、悪意のあるコードから保護するための更新プログラムを定期的に提供していますが、それが常に安全とは限りません。より新しい脆弱性が発見されたり、トロイの木馬が潜んでいたりする可能性があるため、IT部門の推奨に基づいて更新プログラムをインストールすることが重要です。
• 従業員を教育する：優れたサイバー衛生をオンラインで実践することはマルウェア対策として効果があります。フィッシングメール、悪意のあるポップアップ、疑わしいソフトウェアを見つける方法など、従業員が基本的な知識を身につけることで悪意のある攻撃者にとって攻撃のチャンスが抑えられます。
• 暗号化されたセキュアな接続を使用する：転送中および保存中の情報をできる限り暗号化し、ユーザーが安全なトンネルを介してのみ接続できるようにします。
• 高度なエンドポイント セキュリティを活用する：従業員がリモート アクセスを必要とする場合、またはITが管理していない個人デバイスを業務に使用する場合は、システムに接続するすべてのエンドポイントが保護され監視下にあることを徹底してください。
• 多要素認証を使用する：不正アクセスをより適切に防止するには、多要素認証を設定して、ユーザーが機密性の高いシステムまたはデータへのアクセスをリクエストした際に追加レベルの検証を実施します。
• ゼロトラスト セキュリティを実装する：ゼロトラスト セキュリティでは身元、アクセス先、接続先に関係なく、脅威でないことが証明されるまで誰もが潜在的な脅威として扱われます。

高度なマルウェア対策(AMP)

セキュリティ市場にはマルウェア対策ソリューションがあふれており、世界中の組織が毎年数百万ドルを費やしていますが、侵害被害は後を絶ちません。トラフィックの完全な可視性の欠如から、根本的に効果のないパススルー検査のアーキテクチャーまで、従来型のマルウェア対策は現在の脅威の状況に必要とされる形では機能しません。

これに輪をかけて、高度なマルウェアはApple iOS、Androidデバイス、Microsoftなどのより厳しい防御を突破して、データ侵害、分散型サービス拒否(DDoS)攻撃、クリプトジャッキングなどを簡単に実行できるようにするファイルを展開します。こうした状況から、組織のセキュリティ スタックにAMPを含めることがより重要になります。

旧式のアプローチは以下の点において不十分です。

• すべてのトラフィックを検査： 次世代ファイアウォールのようなパススルー アーキテクチャーはパケット レベルの検査のみで、最初から最後までコンテンツすべてを検査することはできません。
• 大規模に実行：物理的なアプライアンスとその仮想化された同等のアプライアンスの処理能力は限られているため、特に暗号化されたトラフィックが大量のコンピューティングを必要とする場合には危険にさらされる恐れがあります。
• 未知のマルウェアを阻止：従来型の脅威隔離ソリューションはインラインでは動作しないため脅威をブロックできず、侵害が発生してからフラグを立てることになり、手遅れになる可能性があります。
• ネットワーク外のユーザーを保護：ユーザーがこれまでのネットワークやVPNの使用をやめると、ITやセキュリティ部門はポリシーとセキュリティ制御を適用できなくなります。

最新の脅威対策を実装することで、組織はマルウェアを撃退し、ネットワーク、エンドポイント、データを安全に保つための最良の環境を得ることができます。これを実現するには、新しい保護機能をどこでも即座に共有できる世界規模のフットプリントを備えた、クラウドで構築されたクラウド向けのセキュリティ ソリューションが必要です。つまり、Zscaler Advanced Threat Protectionが求められてくるのです。

Zscalerがマルウェアから保護する方法

Zscaler Advanced Threat Protectionは、ランサムウェア、ゼロデイ脅威、未知のマルウェアからの常時オンの鉄壁の保護を提供します。クラウド ネイティブなプロキシ アーキテクチャー上に構築されたZscalerのセキュリティ クラウドは、ネットワーク上またはネットワーク外のすべてのユーザーからのすべてのパケットを最初から最後まで検査します。TLS/SSLで暗号化されたトラフィックであっても容量に制限はありません。

クラウド サンドボックス、クラウドIPS、機械学習、脅威インテリジェンスの統合セキュリティ サービス スイートがセキュリティ ギャップを解消し、他のセキュリティ ソリューションの不備に起因するリスクを軽減しながら以下のようなメリットを提供します。

• 完全なインライン対策：インライン プロキシ アーキテクチャーは、疑わしいコンテンツや攻撃を隔離してブロックできる、信頼の置ける唯一の方法です。
• インライン サンドボックスと機械学習(ML): Zscaler Cloud Sandboxは、高度な機械学習を活用した分析で攻撃のあらゆる段階で脅威を速やかに阻止します。
• 常時オンのTLS/SSLインスペクション：150以上のデータ センターのグローバル プラットフォーム全体に分散された暗号化トラフィックの無制限の検査は、ユーザーがどこにいても追跡します。
• Zscalerのクラウド：世界最大のセキュリティ クラウドからの脅威データを活用することで、Zscalerはクラウド全体で脅威からの保護をリアルタイムで共有します。

Zscalerは2022年 Gartner セキュリティ・サービス・エッジ (SSE) のMagic Quadrantでリーダーの1社と評価されました。Gartnerは実行能力に基づいてベンダーを評価し、Zscalerを11社の中で実行能力において最も高いポジションに位置付けています。